В данной статье хотел бы поделиться очень коротким и простым, но очень полезным по моему мнению документом.
Вопрос длинных BIN на стандартной длине номера карты (16) с точки зрения PCI DSS не так и
просто решить. PCI DSS разрешает оставлять 6 первых и 4 последних цифры номера карты и
никаких других рекомендаций не дает. Возможно, будут рекомендации в PCI DSS 4.0 но пока их
нет. От представителей платежных систем я также не смог получить детальных рекомендаций.
Решение очень простое и весьма логичное - оставлять суммарное количество не маскированных
цифр таким же, как того требует стандарт - 10. Но вместо 6+4 использовать, например 8+2. Да, это повышает вероятность коллизий среди пользователей одного банка, но зато сохраняет стойкость.
Кроме того, в разных процессах зачастую требуется разная информация. И там, где нужен полный
BIN возможно вовсе не нужны последние цифры карты (например, для определения через какой платежный шлюз направить транзакцию для более выгодной комиссии). А для идентификации пользователя может быть вполне достаточно классических 6+4.
Вопрос длинных BIN на стандартной длине номера карты (16) с точки зрения PCI DSS не так и
просто решить. PCI DSS разрешает оставлять 6 первых и 4 последних цифры номера карты и
никаких других рекомендаций не дает. Возможно, будут рекомендации в PCI DSS 4.0 но пока их
нет. От представителей платежных систем я также не смог получить детальных рекомендаций.
Есть рекомендации отдельно от VISA и MASTERCARD как поступать в случае более
длинных BIN (7+) на длинных номерах карт (17+). Но как поступать с длинными BIN на
стандартных 16 цифрах не всегда понятно.
длинных BIN (7+) на длинных номерах карт (17+). Но как поступать с длинными BIN на
стандартных 16 цифрах не всегда понятно.
Решение очень простое и весьма логичное - оставлять суммарное количество не маскированных
цифр таким же, как того требует стандарт - 10. Но вместо 6+4 использовать, например 8+2. Да, это повышает вероятность коллизий среди пользователей одного банка, но зато сохраняет стойкость.
Кроме того, в разных процессах зачастую требуется разная информация. И там, где нужен полный
BIN возможно вовсе не нужны последние цифры карты (например, для определения через какой платежный шлюз направить транзакцию для более выгодной комиссии). А для идентификации пользователя может быть вполне достаточно классических 6+4.
Ну и стоит помнить, что нужно принять меры для невозможности сопоставления данных одной
карты с разными маскированными элементами.
карты с разными маскированными элементами.
